InspectWP Logo
Glossaire

Qu'est-ce qu'un CAPTCHA ? Types, fonctionnement et alternatives

20 mai 2026

Un CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) est un test défi-réponse utilisé sur les sites web pour distinguer les humains des bots automatisés. Le terme a été inventé en 2003 par Luis von Ahn, Manuel Blum, Nicholas J. Hopper et John Langford à l'université Carnegie Mellon. Les CAPTCHAs modernes incluent Google reCAPTCHA v2 (grilles d'images), reCAPTCHA v3 (score invisible), hCaptcha et Cloudflare Turnstile ; les alternatives respectueuses de la vie privée incluent les champs honeypot et l'analyse temporelle des formulaires.

Comment fonctionne un CAPTCHA ?

Un CAPTCHA propose une tâche facile pour un humain et difficile pour un logiciel : identifier du texte déformé, sélectionner des images contenant un feu tricolore, ou — dans les CAPTCHAs invisibles — analyser en arrière-plan le mouvement de la souris, les cookies, l'empreinte du navigateur et la réputation IP. Le serveur n'accepte le formulaire que si le token CAPTCHA est validé par l'API du fournisseur.

Quels types de CAPTCHA existent en 2026 ?

  1. CAPTCHA texte — lettres déformées ; cassé par OCR depuis ~2014.
  2. CAPTCHA image (reCAPTCHA v2) — "sélectionnez les bus", lancé en 2014.
  3. CAPTCHA case à cocher — "Je ne suis pas un robot", dans reCAPTCHA v2 depuis 2014.
  4. Invisible / score (reCAPTCHA v3) — score 0.0–1.0, lancé en octobre 2018.
  5. hCaptcha — alternative privacy-first lancée en 2018, utilisée par Cloudflare 2020–2023.
  6. Cloudflare Turnstile — invisible, sans labellisation, GA septembre 2023.
  7. CAPTCHA math/question — calculs simples ("2 + 3 = ?").
  8. CAPTCHA slider/puzzle — glisser une pièce à sa place.

Pourquoi utiliser un CAPTCHA sur WordPress ?

  • Anti-spam sur les formulaires de contact, commentaires et inscription.
  • Défense brute-force sur wp-login.php et le login WooCommerce.
  • Mitigation du credential stuffing.
  • Dissuasion des scrapers.

Quels sont les inconvénients ?

  • Accessibilité : les défis visuels bloquent les lecteurs d'écran ; WCAG 2.2 exige une alternative.
  • Vie privée : Google reCAPTCHA charge des scripts depuis google.com et collecte IP, cookies et données. La CNIL et les DPA allemandes imposent un consentement RGPD explicite.
  • Conversion : les études estiment 3,2 à 29 % d'abandon.
  • Performance : reCAPTCHA ajoute ~200 Ko de JavaScript.
  • Cassable par IA : depuis 2023, les modèles de classe GPT-4 résolvent la plupart des CAPTCHAs en secondes.

Quelles alternatives respectueuses de la vie privée ?

  • Champ honeypot — un input caché que seuls les bots remplissent.
  • Contrôle temporel — rejeter les envois en moins de 2–3 secondes.
  • Cloudflare Turnstile — sans labellisation ni cookies.
  • Friendly Captcha — proof-of-work hébergé en UE.
  • Rate limiting — bloquer les IPs après N tentatives par minute.

Ce que vérifie InspectWP

InspectWP détecte Google reCAPTCHA, hCaptcha et Cloudflare Turnstile via les scripts chargés et les signale sous RGPD (scripts Google) et sécurité. Il signale aussi l'absence de protection brute-force sur wp-login.php.

Article précédent

Qu'est-ce qu'un honeypot ? Protection antispam sans CAPTCHA

Article suivant

Qu'est-ce que les shortcodes WordPress ? Un guide pratique

Articles liés

Qu'est-ce que HTTP/2 et HTTP/3 ? Guide pratique pour les sites WordPress

Que sont les custom post types WordPress ?

Qu’est ce qu’un block theme WordPress (Full Site Editing) ?

Voir tous les articles

Vérifiez votre site WordPress dès maintenant

InspectWP analyse votre site WordPress pour détecter les problèmes de sécurité, de SEO, de conformité RGPD et de performance — gratuitement.

Analyser votre site gratuitement